Přihlašování k systému Windows a šifrování e-mailů S/MIME pomocí služby Active Directory¶
Compatible Nitrokeys |
|||||||
|---|---|---|---|---|---|---|---|
✓ active |
⨯ inactive |
⨯ inactive |
✓ active |
⨯ inactive |
✓ active |
✓ active |
⨯ inactive |
Upozorňujeme, že tento ovladač je stále ve fázi vývoje/testování. Sdělte nám prosím své zkušenosti! Viz naše kontaktní stránka.
Předpoklady¶
Tato příručka předpokládá, že na serveru je nainstalován a spuštěn server služby Active Directory s rolí „Certifikační služby Active Directory“. Tyto pokyny jsou založeny pouze na produktech Nitrokey Storage 2 a Nitrokey Pro 2.
Instalace protokolu OpenPGP-CSP¶
Tento krok je nutný, aby klienti mohli používat ovladač OpenPGP-CSP. Stáhněte a nainstalujte nejnovější verzi instalačního souboru ‚SetupOpenPGPCsp‘ pro vaši systémovou architekturu, pro ‚SetupOpenPGPCsp_x64.msi‘ pro 64bitové systémy.
Možná budete chtít nainstalovat ovladač také na server, abyste mohli vynutit použití tohoto ovladače v šabloně (viz níže).
Vytvoření šablony certifikátu na straně serveru¶
Na serveru Active Directory otevřete soubor certsrv.msc a spravujte šablony certifikátů. Klikněte pravým tlačítkem myši na položku „Šablony certifikátů“ a vyberte možnost „Spravovat“.
Nyní klikněte pravým tlačítkem myši na šablonu „Přihlášení pomocí čipové karty“ a kliknutím na tlačítko „Duplikovat“ vytvořte novou šablonu na základě této standardní šablony. Přejmenujte šablonu na „Přihlášení kartou OpenPGP a e-mail“ nebo podobně.
V části „Request Handling“ můžete jako jediného poskytovatele kryptografických služeb vybrat OpenPGP-CSP (klikněte na tlačítko „CSPs…“). Aby to fungovalo, je třeba nainstalovat ovladač i na server a předtím vložit Nitrokey. To je nepovinné. Můžete nechat uživatele vybrat, který CSP chce použít.
Chcete-li povolit šifrování e-mailu S/MIME, přejděte na položku „Název předmětu“. Zaškrtněte políčko ‚E-mail name‘ (poznámka: poštovní adresy uživatelů musíte uložit do příslušného pole Active Directory!).
Poté přejděte do části „Rozšíření“, kde upravte pokyny pro aplikace a přidejte „Zabezpečený e-mail“.
Žádost o certifikát na klientovi (člen domény)¶
Chcete-li požádat o certifikát pro člena domény, musíte otevřít soubor certmgr.msc. Klikněte pravým tlačítkem myši na složku „Personal->Certificates“ a klikněte na „All Tasks->Request New Certificate“ a vyberte šablonu, kterou jste vytvořili v AD.
Pokud jste si nevynutili použití OpenPGP-CSP, musíte si jej zvolit zde.
Dále vyberete slot pro ověření certifikátu.
Nyní jste připraveni přihlásit se k počítači pomocí klíče Nitrokey místo hesla a můžete použít Šifrování/podpisování e-mailů S/MIME pomocí klíče Nitrokey. Ovladač musí být nainstalován na každém počítači, na kterém chcete certifikát používat.
